2014年の雨傘運動では、Bridgefyと同様な仕組みを持つ「Firechat」という通信アプリが利用されていた。これらのアプリは、ブルートゥース経由でメッシュと呼ばれるネットワークを構築し、通信を行っている。メッシュを用いた通信では、キャリアの通信ネットワークを用いずにデータの送受信が可能なため、政府の検閲を避けられるとされている。
香港や中国の当局が、このアプリを締め出すことは困難だ。Bridgefyの通信は、あらゆるデバイスを中継して行われるため、警察が特定のネットワークを閉鎖しても効果がない。
ただし、Bridgefyも完璧なツールとは言い難い。例えば警察がBridgefyで偽の情報を流し、活動家を混乱させることは簡単だ。参加者に特定の地点を集合場所として伝え、そこで警察が待ち伏せすることも想定できる。
ジョンズ・ホプキンズ大学でセキュリティを研究するMatthew Green准教授は、Bridgefyをダウンロードし、機能のレビューを行った。Greenは、Bridgefyの主なセキュリティ上の懸念は、通信の秘匿性にあると話した。
「理論上、Bridgefyの通信には暗号化が施されているが、オフライン状態でもセキュアな暗号化が出来ているかどうかは不明だ」と彼は続けた。
Bridgefyの広報担当はフォーブスの取材に「プライベートなメッセージは、エンドツーエンドのRSA暗号で守られている。一斉送信するメッセージには、暗号化は加えられておらず、誰でも読むことができる」と話した。
ただし、広報担当者はプライベートメッセージにおいても、完璧な防御を実現することは難しいと述べ、「当局の監視や検閲に対抗するためには、最大限の暗号化を行うしかない」と話した。Bridgefyの利用規約には「通信内容はアプリの運営元以外の第三者に傍受されるリスクがある」との記述がある。
一方で、Green准教授は、アプリのメタデータが警察の手に渡るリスクも警告した。Bridgefyのメタデータに、利用者の端末のデバイス識別子が含まれている可能性がある。中国政府の要請を受けた通信キャリアがデバイスの識別子を開示し、利用者が特定されてしまう危険性があるのだ。
さらに、テンセントが運営するWeChatも、アンドロイドでデバイスの識別子を収集しており、警察がテンセントに情報の開示を求める可能性もある。
もう1つの懸念は、当局がBridgefyの一斉メッセージにマルウェアを仕込み、ネットワーク内にばら撒いて端末情報を収集する可能性だ。先日の報道で、中国政府が新疆ウイグル自治区の人権活動家らをターゲットとした、ハッキング攻撃を行っていることも明らかになった。
ただし、これらのリスクを考慮した上で利用するのであれば、Bridgefyは現在の香港において最も有用なコミュニケーションツールの1つにあげられるだろう。
